Все о SOC: от автоматизации до первого алерта | Выпуск 3. Процесс и контроль эффективности

Теймур Хеирхабаров

Директор департамента мониторинга, реагирования и исследования киберугроз, BI.ZONE

Алексей Лукацкий

Бизнес-консультант по безопасности, Positive Technologies

Ринат Сагиров

Руководитель департамента мониторинга и реагирования, «Инфосистемы Джет»

Формат

Запись

SOC невозможно построить без процессов — но как убедиться, что они действительно работают, а не просто существуют «на бумаге»? Как оценить зрелость процессов, измерить эффективность и понять, когда пришло время для метрик и автоматизации?

В третьем выпуске говорим о том, что отличает живой, работающий SOC от формального. Обсудим, как внедрять процессы, кто должен отвечать за их актуальность, какие метрики действительно полезны и где проходит граница между реальной эффективностью и красивыми дашбордами.

📌 В выпуске:
— зачем SOC нужны формализованные процессы и какой минимальный набор обязателен;
— как поддерживать актуальность документированных процедур;
— кто в SOC отвечает за разработку и контроль процессов;
— когда и для чего нужны метрики, какие из них ключевые;
— примеры показателей эффективности (MTTD, MTTR, SLA и др.);
— автоматизация и визуализация: как сделать, чтобы метрики работали, а не просто красиво выглядели.

В разговоре приняли участие:

🎙 Ведущий: Теймур Хеирхабаров, BI.ZONE

🎼 Ринат Сагиров, Инфосистемы Джет
🎼 Алексей Лукацкий, Positive Technologies
🎼 Вера Орлова, Русагро Тех

Тайм-коды:
00:00 Вступительная часть
00:07 Приветствие и краткий обзор темы выпуска
01:41 Любой SOC — это комбинация людей, процессов и технологий. Что в этой комбинации главное?
08:34 Процессы. Какой минимальный набор процессов обязательно должен быть реализован для существования центра мониторинга?
16:36 Когда нужно переходить к формализации? Что означает формализовать процесс?
22:55 Работает ли чрезмерное документирование или можно обойтись без него?
26:38 Нужно ли перегружаться при построении SOC с нуля?
27:41 Формализация — реальность и практика. Если команда универсальная, стоит ли заниматься формализацией?
38:55 Решилась бы проблема актуальности документации, если появилась бы система для автоматизации всех процессов?
42:09 Можно ли переложить все процессы в СУАР?
45:36 Какая должна быть актуальность документации?
49:39 Нужно ли снабжать каждый процесс метрикой сразу на старте? Как метрики должны появляться и как их выбрать?
57:25 Существуют ли метрики в процессе разработки правил корреляции или других процессах?
59:55 Есть ли процесс перепроверки, или вы ждёте жалоб?
01:01:05 Каталог метрик. Верите ли вы в идею каталога метрик?
01:13:36 Как понять, что SOC работает эффективно? Можно ли придумать универсальную метрику для всех SOC?
01:18:55 Реализуема ли идея: инцидент — актив — влияние на целостность и доступность — связь актива с информационной системой — связь информационной системы с процессом?
01:22:24 Метрики. Достаточны ли классические метрики?
01:32:03 Итоги дискуссии